Últimas notícias

Fique informado

Anatomia de um ataque de ransomware

24 de junho de 2021

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Pesquisa FEBRABAN de Tecnologia Bancária revela que transações bancárias pelo celular ultrapassam 50% das operações feitas pelos brasileiros

Pesquisa FEBRABAN de Tecnologia Bancária, realizada pela Deloitte, revela que gastos dos bancos com tecnologia cresceram 8% no ano passado

24 de junho de 2021

Terceiro dia do CIAB FEBRABAN terá divulgação de pesquisa de tecnologia e painéis sobre Open Banking e inovação

A plataforma digital do CIAB FEBRABAN 2021 também tem estandes virtuais com as principais novidades de grandes empresas

24 de junho de 2021

Obsolescência do Consumo programado no contexto da pandemia COVID 19 e o impacto jurídico frente a LGPD

Como fazer corretamente o descarte dos dispositivos para evitar possíveis vazamentos de dados.

23 de junho de 2021

UX: como a experiência do usuário pode impactar suas vendas

UX tem tudo a ver com a experiência do usuário em geral, não só no momento de navegar no site da empresa ou fazer a compra

23 de junho de 2021

Wayra e Vivo lançam desafio focado em soluções antifraude e cibersegurança

O hub de inovação aberta da Vivo abre oportunidades de negócios em colaboração com startups cujas soluções tenham sinergia com o desafio

23 de junho de 2021

Com novos ransomware sendo lançados todos os dias, às vezes parece impossível manter o ritmo e monitorar todos eles

Novo ransomware, criação ou evolução?

Embora sejam numerosos e complexos, muitos ransomware compartilham blocos comuns de código e comportamento.

Por exemplo, Revil (também conhecido como Sodinokibi ou Sodin), começou a atacar exatamente quando o fim de todas as atividades do GandCrab foi anunciado. Após análise, pareceu que o código dos dois ransomware era estranhamente semelhante.

Uma história engraçada está relacionada a Petya , o ransomware que chegou em 2016. Um ano depois de sua primeira aparição, um gêmeo foi encontrado, todos acreditaram que era Petya, mas Kaspersky começou a se referir a ele como NotPetya para sublinhar o fato de que eram muito semelhantes ainda diferente o suficiente para chamá-lo de um novo malware.

Mais recentemente, no final de 2020, o fim do Maze foi anunciado, ao mesmo tempo que dois novos ransomware conhecidos como Egregor e Sekhmet foram observados com semelhanças estranhas, indicando que os usuários do Maze podem ter apenas feito a transição de um ransomware para o outro.

As seis fases de um ataque

Neste blog, vamos decompor um ataque de ransomware em 6 fases principais e ver como o IBM QRadar Endpoint Content Extension pode ajudá-lo a detectar ransomware.

Para cada fase, iremos descrever as etapas mais comuns tomadas pelo ransomware (cada ataque pode usar uma ou várias técnicas) e a lista de regras que o ajudarão a detectá-las.

Fase de distribuição

Esta é a única fase que não está incluída no pacote de conteúdo do endpoint, pois a entrega do kit de exploração acontece principalmente por meio de phishing , e há uma extensão de conteúdo dedicada para ele.

 Consulte o parágrafo Configuração do QRadar para localizar todos os links para o App Exchange.

Fase de infecção

Este é o momento da ligação de volta para casa. O ” executável real ” é baixado , o dropper é excluído e o ransomware é executado.

A extensão contém várias regras que correspondem a IOCs em feeds de ameaças, mas também algumas regras dedicadas para ransomware específico, com o objetivo de tornar sua identificação mais fácil para analistas de SOC.

Aplicar Ransomware:

Maze IOC em eventos em eventos que são detectados pelo sistema local

– Quando o (s) evento (s) foram detectados por um ou mais Log de eventos de segurança do Microsoft Windows,

– Quando a categoria de evento para o evento é um dos seguintes Sistema. Arquivo criado;

– Quando o evento corresponde ao Nome do arquivo (personalizado) não é N / A ;

– Quando o evento corresponde a LOWER (“Nome do arquivo”) MATCHES ‘(sss \ .exe | 2 \ .txt | ad \ .7z | (2 | windows | xab3x | xaa3x | 2adfind | start) \. bat) ‘ Consulta de filtro AQL

Dependendo do caso, as regras podem se aplicar a Windows, Linux, Flows ou vários deles.

Fase de preparação

O ransomware agora está se tornando uma casa confortável! Esta é a fase em que o ransomware escaneia a máquina para analisar os direitos administrativos que pode obter, executa-se na inicialização , desativa o modo de recuperação e exclui cópias de sombra , etc.

Essas regras podem ser úteis para detectar ransomware e também muitas outras ameaças.

– Aplicar tentativa de exclusão de cópias de sombra em eventos que são detectados pelo sistema local

– Quando o (s) evento (s) foram detectados por um ou mais Log de eventos de segurança do Microsoft Windows


– Quando a categoria de evento para o evento é um dos seguintes Sistema. Sucesso na criação do processo


– Quando o evento corresponde ao Process CommandLine (personalizado) não é N / A


– Quando o evento corresponde a LOWER (“Process Name”) MATCHES ‘(wmic | vssadmin) \. Exe’ Consulta de filtro AQL


– Quando o evento corresponde a LOWER (“Process CommandLine”) MATCHES ‘(. * Shadowcopy \ s + delete. * |. * Delete \ s + sombras. *)’ Consulta de filtro AQL

Fase de reconhecimento

Agora que o ransomware está pronto para possuir a máquina, ele iniciará uma fase de reconhecimento da rede (caminhos de ataque), pastas e arquivos com extensões predefinidas, etc.


As regras de reconhecimento foram detalhadas um pouco mais nos fundamentos de monitoramento de Endpoint anteriores para o blog QRadar (cobrindo Cobalt Strike, SharpHound, PingCastle, Advanced IP Scanner, AdFind, Everything e ferramentas Masscan).

Este conjunto de regras é uma vitória dupla para um SOC. Você pode implementar monitoramento para comportamento típico de ransomware , mas também para detectar algumas ferramentas de teste de penetração comuns usadas por equipes vermelhas.

Aplicar comportamento de ataque de cobalto detectado em eventos ou fluxos que são detectados pelo sistema local, quando um fluxo ou evento corresponde a qualquer um dos seguintes:

– BB: BehaviorDefinition: Tráfego de entrada de ataque de cobalto;

– BB: BehaviorDefinition: Tráfego de saída de ataque de cobalto;

– BB: BehaviorDefinition: Endereço do processo de ataque de cobalto;

– BB: Definição de comportamento: Uso da porta de ataque de cobalto.

Encriptação

Esta é a fase em que o dano real está sendo feito. O caminho típico é: crie uma cópia de cada arquivo, criptografe as cópias, coloque os novos arquivos no local original.


Os arquivos originais podem ser exfiltrados e excluídos do sistema, permitindo que os invasores extorquem a vítima com ameaças de divulgar sua violação até mesmo para vazar documentos roubados.

Na maioria das vezes, um relatório completo é criado e carregado para casa.

Os limites dessas regras precisam ser ajustados ao tamanho da empresa e ao comportamento típico dos usuários.


A regra Ransomware Encrypted File Extension é desabilitada por padrão, pois é configurada para corresponder a mais de 200 extensões de arquivo por padrão e deve ser limitada a ambientes críticos.

Aplicar uma quantidade suspeita de arquivos renomeados / movidos na mesma máquina (Unix) em eventos que são detectados pelo sistema local

– Quando um evento corresponde a qualquer um dos seguintes BB: DeviceDefinition: sistema operacional

– Quando a categoria de evento para o evento é uma das o seguinte sistema. Sucesso na criação do processo

– Quando o evento corresponde ao nome do processo (personalizado) é qualquer um de mv

– Quando pelo menos 750 eventos são vistos com a mesma ID de máquina (personalizado) em 5 minutos

Notificação de resgate

No final do processo, o usuário recebe uma notificação e instruções para pagar o resgate para obter a chave de descriptografia.
Neste ponto, não há muito mais para detectar, exceto para a criação do arquivo de instrução de descriptografia .

A regra Instruções de descriptografia de ransomware criadas corresponde a palavras típicas usadas por ransomware, como descriptografar, recuperar, instruções, como fazer, etc.


Esta regra é dividida em 3 partes, procurando por extensões de arquivo específicas, regexes em nomes de arquivo e nome de arquivo + extensão.
Você pode ajustá-lo para se adaptar a um ransomware específico.

Aplicar instruções de descriptografia de ransomware criadas em eventos que são detectados pelo sistema local

– Quando um evento corresponde a qualquer um dos seguintes BB: DeviceDefinition: sistema operacional

– Quando a categoria de evento para o evento é um dos seguintes sistemas. Arquivo criado

– Quando o evento corresponde ao nome do arquivo (personalizado) não é N / A

– Quando o evento corresponde a LOWER (“File Extension”) MATCHES ‘. *? (Where_my_files | how_to_ (recover_data | decrypt) | contact_here_to_recover_your_files)’ OR LOWER (” Nome do arquivo “) CORRESPONDÊNCIA ‘(decifrar arquivos | [a-z0-9] {5,12} -readme | readme_for_decrypt) \. Txt’ OU (MENOR (” Nome do arquivo “) CORRESPONDÊNCIA ‘. *? Decriptografar. *’ E MENOR (“Extensão de arquivo”) IN (‘txt’, ‘html’

Configuração QRadar

Muitas das regras enumeradas neste blog estão relacionadas ao monitoramento de arquivo, isso significa que uma configuração adicional é necessária para enviar logs relevantes para o QRadar.

Instale o DSM

Baixe e instale o DSM relevante para o seu ambiente por meio de atualizações automáticas ou Fix Central . A extensão de conteúdo Endpoint foi otimizada para funcionar com ambientes Windows e Linux , mas pode ser adaptada a qualquer sistema operacional. 

A extensão de conteúdo de phishing e email foi otimizada para Microsoft Exchange, Cisco Ironport, Postfix, Proofpoint e Office 365 , mas pode ser adaptada a qualquer tipo de servidor de email.

Configure os dispositivos


Consulte o Guia DSM para a configuração básica.

Etapas adicionais devem ser executadas para configurar Sysmon no Windows e Auditd no Linux para corresponder a todas as regras incluídas no pacote de conteúdo.

Configuração Sysmon no IBM Knowledge Center

Configuração de auditoria no IBM Knowledge Center

Instale as extensões de conteúdo


Regras

O IBM QRadar Endpoint Content Extension e o IBM QRadar Phishing e Email Content Extension estão disponíveis no App Exchange .

Propriedades

O pacote contém marcadores de posição de definição de propriedade customizada. Isso significa que você pode copiar as propriedades personalizadas fornecidas e adaptá-las ao seu ambiente, adicionando expressões sob essa definição. Você também pode baixar nossos conjuntos de propriedades personalizadas.

Lista de propriedades predefinidas disponíveis no App Exchange

Propriedades customizadas do IBM QRadar para Microsoft Windows
Propriedades customizadas do IBM QRadar para Linux Propriedades customizadas do
IBM QRadar para Postfix Propriedades customizadas do
IBM QRadar para-Cisco IronPort
Propriedades customizadas do IBM QRadar para Proofpoint
Propriedades customizadas da IBM para Microsoft Exchange
Extensão de conteúdo do IBM QRadar para Office 365

Concluindo, mesmo que o ransomware esteja em constante evolução, existem comportamentos comuns que você pode observar e as extensões de conteúdo do App Exchange podem ser um bom ponto de partida. Se você tiver alguma recomendação de conteúdo a ser implementado, não hesite em nos avisar.

Fonte: IBM

Eder Souza da e-Safer comenta os recentes Ransomwares

Mantis identifica mais de 1500 sistemas nacionais comprometidos à venda na Dark Web

6 em cada 10 empresas de pequeno porte já foram contaminadas por ransonwares, afirma BluePex

Por que o Ransomware é uma ameaça para as PMEs?

Você quer acompanhar nosso conteúdo? Então siga nossa página no LinkedIn!